Ester Chicano Tejada - Gestión de servicios en el sistema informático. IFCT0509

Здесь есть возможность читать онлайн «Ester Chicano Tejada - Gestión de servicios en el sistema informático. IFCT0509» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: unrecognised, на испанском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Gestión de servicios en el sistema informático. IFCT0509: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Gestión de servicios en el sistema informático. IFCT0509»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Libro especializado que se ajusta al desarrollo de la cualificación profesional y adquisición de certificados de profesionalidad. Manual imprescindible para la formación y la capacitación, que se basa en los principios de la cualificación y dinamización del conocimiento, como premisas para la mejora de la empleabilidad y eficacia para el desempeño del trabajo.

Gestión de servicios en el sistema informático. IFCT0509 — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Gestión de servicios en el sistema informático. IFCT0509», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема
Сбросить

Интервал:

Закладка:

Сделать

2.9. Seguridad ligada a los recursos humanos

Se establecen una serie de controles, que debe aplicar la organización para mantener la seguridad de la información, que prevengan un uso inadecuado de la información por parte de los empleados antes de trabajar en la empresa, durante su período de trabajo y una vez se ha extinguido su contrato de trabajo con la misma.

Para ello, se pone una especial atención a la necesidad de establecer una serie de obligaciones contractuales que comprometan a todos los empleados, contratistas, proveedores y demás usuarios a cumplir con unos compromisos, funciones y responsabilidades.

También se establece como control fundamental la definición y documentación específica de cada uno de los roles de los empleados y usuarios de la información, en concordancia con la política de seguridad de la organización.

2.10. Seguridad física y del entorno

Este capítulo describe una serie de controles que pueden servir para evitar el acceso físico no autorizado, daño o interferencia a las instalaciones y a la información de la organización.

Los medios físicos de procesamiento de información deben estar situados en áreas seguras, protegidas por perímetros de seguridad definidos, con barreras de seguridad y controles de entrada y salida apropiados. La información crítica y confidencial debe tener un mayor nivel de protección física ante accesos no autorizados y amenazas físicas y ambientales; por ejemplo, protección del sol directo o de exceso de polvo en oficinas con maquinaria, etc.

картинка 5

Aplicación práctica

En la empresa en la que trabaja le acaban de encomendar la evaluación de los distintos riesgos a los que se somete la empresa y el diseño de una serie de medidas y buenas prácticas para disminuir estos riesgos. En estos momentos se encuentra analizando los riesgos que puede haber al dejar entrar libremente a una persona externa de la organización. ¿Qué riesgo supondría este hecho? ¿Cómo lo evitaría?

SOLUCIÓN

El hecho de dejar entrar a cualquier persona sin ningún tipo de control pone en grave riesgo a la empresa, ya que esta persona puede acceder a información confidencial y hacer un mal uso de la misma. También puede manipular esta información libremente en perjuicio de la empresa. Para evitar estos riesgos, se recomienda establecer controles de entrada y salida (como, por ejemplo, registros de entrada y salida, establecimiento de sistemas de autenticación, etc.) de personas para que solo aquellos que estén autorizados puedan acceder a las zonas más vulnerables.

2.11. Gestión de las comunicaciones y operaciones

El objetivo aquí está en asegurar un correcto y seguro funcionamiento de los medios de procesamiento de la información. Para ello, hay que establecer los procedimientos de operación, detallando las personas responsables de cada uno de los pasos a seguir.

También se elaboran y documentan procedimientos de actuación por si surge cualquier tipo de incidencia, para reducir riesgos de negligencias o de un mal uso del sistema de información.

También es importante tratar la gestión de la información con terceros, indicando que las organizaciones deben mantener el nivel de seguridad apropiado de la información, además de cumplir con la entrega de los servicios, siguiendo los requerimientos descritos entre la organización y el tercero en el acuerdo de entrega del servicio.

Unos ejemplos de procedimientos operativos recomendados (tanto a nivel interno como externos) son los siguientes:

1 Control de los cambios en los medios de procesamiento de la información. Identificación y registros de cambios significativos.

2 Realización de copias de seguridad o backups, definiendo el nivel necesario de respaldo de cada información.

3 Segregación de las responsabilidades.

4 Establecer controles nuevos para solucionar incidentes de la seguridad de la información y para mejorar la seguridad.

5 Establecer una política formal que prohíba el uso de software que no esté autorizado.

6 Realizar revisiones periódicas del software.

7 Implementación de controles para garantizar la seguridad de la información en las redes.

8 Establecer acuerdos de intercambio de información con terceros.

картинка 6

Nota

Las responsabilidades deben estar segregadas entre distintos miembros de la organización para reducir las posibilidades de un mal uso de los activos de la entidad.

2.12. Control de acceso

Se debe establecer una serie de procedimientos formales que sirvan para asegurar el acceso del usuario autorizado y, por otro lado, evitar el acceso no autorizado a los sistemas de información de la organización.

Algunas de las medidas que se proponen son las siguientes:

1 Asegurar solo los accesos autorizados mediante el uso de identificadores (o IDs) de usuarios únicos, definiendo distintos niveles de acceso, permitiendo el uso de IDs grupales solo cuando sea estrictamente necesario.

2 Eliminar o bloquear los derechos de acceso a los usuarios que han cambiado de puesto o que han finalizado su relación contractual con la organización.

3 Controlar la asignación de claves secretas mediante un proceso de gestión formal.

4 Revisar formalmente, por parte de la gerencia, los derechos de acceso de los usuarios de modo periódico.

5 Mantener a los usuarios informados y advertidos de una correcta utilización de claves secretas y de la responsabilidad que ello conlleva.

6 Establecer políticas de escritorio limpio. Por ejemplo, la información confidencial o crítica debe ser guardada bajo llave cuando no está siendo utilizada.

7 Controlar el acceso a los servicios de redes internas y externas, evitando el acceso no autorizado a los servicios de la red.

8 Restringir el acceso a los sistemas operativos solo a los usuarios autorizados, mediante sistemas de autenticación apropiados y el registro de los usos del sistema.

9 Establecimiento y adopción de medidas de seguridad que protejan contra los riesgos de utilizar medios de computación y comunicación móvil.

10 Establecimiento y definición de procedimientos de las actividades de teletrabajo.

картинка 7

Actividades

1. Señale si considera adecuadas las medidas recomendadas para el control de acceso de usuarios autorizados, y proponga medidas adicionales.

2.13. Adquisición, desarrollo y mantenimiento de los sistemas de información

El diseño e implementación del sistema de información es vital para la seguridad. Por ello, es necesario garantizar que la seguridad sea una parte integral de los sistemas de información.

Para que esta garantía sea real, antes de desarrollar e implementar los sistemas de información es necesario identificar y acordar los distintos requerimientos de seguridad de cada área de la organización implicada en dicha implementación. La identificación de los requisitos de seguridad se realiza en la fase de requerimientos de un proyecto.

2.14. Gestión de incidentes de seguridad de la información

Cualquier incidente o debilidad que afecte a la seguridad de la información debe ser comunicado correctamente a los responsables del establecimiento de las medidas correctivas oportunas.

Читать дальше
Тёмная тема
Сбросить

Интервал:

Закладка:

Сделать

Похожие книги на «Gestión de servicios en el sistema informático. IFCT0509»

Представляем Вашему вниманию похожие книги на «Gestión de servicios en el sistema informático. IFCT0509» списком для выбора. Мы отобрали схожую по названию и смыслу литературу в надежде предоставить читателям больше вариантов отыскать новые, интересные, ещё непрочитанные произведения.


Отзывы о книге «Gestión de servicios en el sistema informático. IFCT0509»

Обсуждение, отзывы о книге «Gestión de servicios en el sistema informático. IFCT0509» и просто собственные мнения читателей. Оставьте ваши комментарии, напишите, что Вы думаете о произведении, его смысле или главных героях. Укажите что конкретно понравилось, а что нет, и почему Вы так считаете.

x